IA et données personnelles : la CNIL publie ses premières fiches pratiques

A l’issue d’une consultation publique sur ce thème, la CNIL a publié le 8 avril ses premières fiches pratiques sur le développement des systèmes d’intelligence artificielle (IA).

Ces dernières concernent uniquement la phase dite de développement des systèmes d’IA génératives utilisant des données personnelles, à savoir celle consistant à concevoir, développer et entraîner l’IA.

Ces entraînements nécessitent en effet le traitement d’un volume important d’informations pouvant notamment impliquer des personnes physiques, soit des données personnelles.

La CNIL a précisé que ces fiches pratiques ont été élaborées en vue d’une articulation avec les futures obligations du règlement européen sur l’IA, adopté par les députés européens le 13 mars dernier et dont la publication est prévue avant la fin de l’année 2024.

Elle a pris le soin de souligner que le règlement européen sur l’IA n’avait pas vocation à remplacer les obligations en matière de protection des données, mais à les compléter. C’est-à-dire que, lorsque de telles données seront utilisées pour le développement d’un système d’IA, le RGPD et le règlement sur l’IA seront applicables.

La CNIL est également venue rappeler que la règlementation européenne en matière de données personnelles constitue un cadre innovant et protecteur pour l’IA qui, contrairement aux idées reçues, n’est pas un frein à cette innovation en Europe.

Les fiches pratiques IA :

• Fiche n°0 – Quel est le périmètre des fiches pratiques sur l’IA ?
• Fiche n°1 – Déterminer le régime juridique applicable
• Fiche n°2 – Définir une finalité
• Fiche n°3 – Déterminer la qualification juridique des fournisseurs de systèmes d’IA
• Fiche n°4 (1/2) – Assurer que le traitement est licite – définir une base légale
• Fiche n°4 (2/2) – Assurer que le traitement est licite – en cas de réutilisation des données
• Fiche n°5 – Réaliser une analyse d’impact si nécessaire
• Fiche n°6 – Tenir compte de la protection des données dans la conception du système
• Fiche n°7 – Tenir compte de la protection des données dans la collecte et la gestion des données

 
L’ensemble des fiches pratiques sont accessibles sur le site Internet de la CNIL.

Dans les mois à venir, ces premières recommandations seront complétées par d’autres fiches pratiques portant également sur cette phase de développement. Soumises à une nouvelle consultation publique, ces fiches traiteront des thèmes suivants : la récupération de données sur internet ; la mobilisation de l’intérêt légitime comme base légale ; l’exercice des droits d’accès, de rectification et d’effacement ; le recours ou non à des licences ouvertes.

Pour rappel, les recommandations de la CNIL ne sont pas contraignantes et peuvent être écartées par le responsable de traitement à condition de pouvoir justifier de leur choix et sous leur responsabilité.